實驗1、網路嗅探-網路嗅探的基本概念及實踐

1、實驗介紹
實驗簡介

• 實驗所屬系列：網路嗅探
• 實驗物件：本科/專科資訊保安專業;相關工作從業人員;應用安全愛好者
• 相關課程及專業：網路嗅探
• 實驗時數（學分）：2學時
• 實驗類別：實踐實驗類
• 實驗附件：https://xpro-adl.91ctf.com/userdownload?filename=無&type=attach

實驗目標

• 熟悉SniffX工具的安裝和使用。
• 捕獲資料包並進行分析。

預備知識
網路嗅探是指利用計算機的網路介面截獲其它計算機的資料報文的一種手段。網路嗅探需要用到網路嗅探器，其最早是為網路管理人員配備的工具，有了嗅探器網路管理員可以隨時掌握網路的實際情況，查詢網路漏洞和檢測網路效能，當網路效能急劇下降的時候，可以通過嗅探器分析網路流量，找出網路阻塞的來源。網路嗅探是網路監控系統的實現基礎。

2、實驗步驟
一、實驗準備1、開啟本地“遠端桌面連線”工具，輸入地址192.168.41.205（以實際獲取ip為準），進入遠端登陸介面，輸入賬號Administrator和密碼7afe5c，進入虛擬機器。遠端桌面連線，如下圖所示。

2、遠端登入成功，如下圖所示。

二、網路嗅探
1、安裝sniffx。開啟C:\tools\網路嗅探的基本概念及實踐，找到sniffx檔案。如下圖所示

2、雙擊開啟sniffx.exe，如果提示未安裝WinpCap驅動，先安裝WinPcap驅動。如下圖所示。

3、點選“確定”按鈕，提示WinPcap驅動安裝完成。如下圖所示。若已安裝驅動，再次安裝時需要解除安裝之前的版本，再重新安裝。

4、用sniffx軟體捕獲資料包。sniffx 是一個HTTP協議的網路嗅探器，協議分析器和HTTP檔案重建工具。它可以捕捉區域網內的含有HTTP協議的ip資料包，並對其內容進行解碼分。通過它，可以看到現在都訪問了哪些網頁，這些網頁的內容是什麼。雙擊sniffx.exe，啟動工具，使用瀏覽器輸入“192.168.41.209”，訪問網站一段時間，產生一定數量的網路流量。軟體會自動捕獲捕捉本機的含有HTTP協議的ip資料包。如下圖所示


5、檢視資料包詳情。選中一個數據包，檢視資料包詳情。如下圖所示。

3、分析和思考
1、網路嗅探概念是什麼？

2、嗅探器是什麼？　　　
答案：

1、網路嗅探是指利用計算機的網路介面截獲其它計算機的資料報文的一種手段。

2、嗅探器是進行網路嗅探時使用的工具。

實驗2、網路嗅探-網路嗅探常用的系統和工具

1、實驗介紹
實驗簡介

• 實驗所屬系列：網路嗅探
• 實驗物件：本科/專科資訊保安專業；相關工作從業人員；應用安全愛好者
• 相關課程及專業：網路嗅探
• 實驗時數（學分）：2學時
• 實驗類別：實踐實驗類
• 實驗附件：https://xpro-adl.91ctf.com/userdownload?filename=無&type=attach

實驗目標

• 熟悉WireShark工具的安裝和使用。
• 捕獲資料包並進行分析。

預備知識
Wireshark（前稱Ethereal）是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包，並儘可能顯示出最為詳細的網路封包資料。Wireshark使用WinPcap作為介面，直接與網絡卡進行資料報文交換。
網路封包分析軟體的功能可想像成 “電工技師使用電錶來量測電流、電壓、電阻” 的工作 - 只是將場景移植到網路上，並將電線替換成網路線。在過去，網路封包分析軟體是非常昂貴，或是專門屬於盈利用的軟體。Wireshark的出現改變了這一切。在GNUGPL通用許可證的保障範圍底下，使用者可以以免費的代價取得軟體與其原始碼，並擁有針對其原始碼修改及客製化的權利。Wireshark是目前全世界最廣泛的網路封包分析軟體之一。

2、實驗步驟
一、實驗準備
1、開啟本地“遠端桌面連線”工具，輸入地址192.168.41.205（以實際獲取ip為準），進入遠端登陸介面，輸入賬號Administrator和密碼7afe5c，進入虛擬機器。遠端桌面連線，如下圖所示。

2、遠端登入成功，如下圖所示

二、使用Wireshark捕獲資料包
1、安裝Wireshark。開啟C:\tools\網路嗅探常用的系統和工具，找到Wireshark安裝檔案。如下圖所示。

2、雙擊開啟安裝檔案，點選“Next”按鈕。如下圖所示。3、在許可協議頁面，點選“IAgree”同意。如下圖所示。

4、選擇安裝元件。其中Wireshark是基本的元件，TShark是Wireshark的命令列版本，Plugins/Extensions是擴充套件外掛，Tools是工具，User’sGuide是使用者指導。點選“Next”按鈕。如下圖所示。

5、額外的安裝選項。勾選StartMenuItem建立開始選單項，勾選DesktopIcon建立桌面圖示，勾選QuickLaunchIcon建立快速啟動圖示，勾選AssociatefileextensionstoWireshark將捕捉包預設開啟方式關聯到Wireshark。點選“Next”按鈕。如下圖所示。

6、選擇安裝路徑為C:\Wireshark。點選“Next”按鈕。如下圖所示。

7、如果之前未安裝WinPcap，則會提示安裝WinPcap。點選“Install”按鈕安裝。如下圖所示

8、安裝WinPcap，點選“Next”按鈕。如下圖所示。

9、WinPcap許可協議頁面，點選“IAgree”按鈕同意。如下圖所示。

10、安裝選項。勾選“AutomaticllystarttheWinPcapdeiveratboottime”,使WinPcap可以自動啟動。點選“Install”按鈕。如下圖所示。

11、WinPcap安裝完成後跳轉回Wireshark安裝流程繼續安裝。Wireshark安裝完成後點選“Next”按鈕。如下圖所示。

12、勾選“RunWireshark1.10.14”，點選“Finish”按鈕結束安裝並啟動Wireshark。如下圖所示。

13、Wireshark啟動。如下圖所示。


17、對抓取的資料包進行過濾。例如在Filter中輸入ip.dst==192.168.41.255可以過濾出目的地址IP為192.168.41.255的資料包。如下圖所示。

3、分析和思考
1、Wireshark使用什麼介面？

2、Wireshark主要有什麼功能。　　　　
答案：

1、Wireshark使用WinPcap作為介面，直接與網絡卡進行資料報文交換。

2、Wireshark可以捕捉網路中的資料包並顯示出其中的資料。

實驗3、網路嗅探-利用Iris軟體進行資料包檢測和分析

1、實驗介紹
實驗簡介

• 實驗所屬系列：網路嗅探
• 實驗物件：本科/專科資訊保安專業;相關工作從業人員;應用安全愛好者
• 相關課程及專業：網路嗅探
• 實驗時數（學分）：2學時
• 實驗類別：實踐實驗類
• 實驗附件：https://xpro-adl.91ctf.com/userdownload?filename=利用Iris軟體進行資料包檢測和分析.rar&type=attach

實驗目標

• 能夠使用iris進行相關的網路檢測

預備知識
Iris是對網路上的資料包進行檢測和分析的工具，它可以捕獲所有發出和進入的資料包，並可以對資料包進行分析和重構。Iris是eEye公司的一款產器，eEye是一家以網路安全見長的公司，其安全檢測工具retina和資料包探測工具Iris都做得非常出色。Iris可用於網路資料傳輸檢測、網路協議檢測等。

2、實驗步驟
一、實驗準備
1、開啟本地“遠端桌面連線”工具，輸入地址192.168.41.214（以實際獲取ip為準），進入遠端登陸介面，輸入賬號Administrator和密碼51e329，進入虛擬機器。遠端桌面連線，如下圖所示。

2、遠端登入成功，如下圖所示。

二、利用Iris進行資料包檢測和分析
1、安裝Iris。開啟C:\tools\網路嗅探-利用Iris軟體進行資料包檢測和分析目錄，找到Iris的安裝程式。如下圖所示。

2、勾選“I acceptall terms of the preceding License Agreement”同意許可協議，點選“Next”。如下圖所示。

3、安裝說明，點選“Next”。如下圖所示。

4、選擇安裝路徑為C:\Iris\，點選“Next”。如下圖所示。

5、建立備份檔案選項，勾選“Yse”，點選“Next”。如下圖所示。

6、點選“Next”開始安裝。如下圖所示。

7、等待安裝完成。如下圖所示。

8、安裝完成後勾選“LaunchIrisNetWorek Traffic Analyzer”，點選“Finish”結束安裝並開始Iris程式。如下圖所示。

9、安裝完成後勾選“LaunchIris”，點選“Finish”結束安裝並開始Iris程式。如下圖所示

10、開啟C:\tools\網路嗅探-利用Iris軟體進行資料包檢測和分析目錄，找到keygen.exe。如下圖所示。

11、雙擊keygen.exe開啟，選中其中序列號並複製貼上到Iris的產品序列號輸入框中，點選“Next”完成Iris的註冊。如下圖所示。


14、安裝嚮導，點選“下一步”。如下圖所示。


18、安裝完成，勾選“啟動IrisNetwork Traffic Analyzer”。如下圖所示。

20、iris的基本使用和配置
第1部分：這是Iris的選單和工具欄，工具欄的都包含在選單中，下面介紹下各選單的功能：檔案選單：主要用來開啟和儲存相關檔案及退出Iris。檢視選單：設定各小部分的顯示與隱藏。捕獲選單：針對資料包捕獲的相關操作，開始/結束捕獲，搜尋資料包等。解碼選單：對資料包進行解碼的相關操作。過濾器選單：可以開啟/關閉過濾器配置檔案，設定包過濾選項等。工具選單：可檢視Iris資料包統計，設定定時抓包任務，對Iris進行設定等。
第2部分：Iris的捕獲和解碼的切換，防護、過濾器和日誌等的設定。
第3部分：檢視Iris的統計，以圖表的形式顯示。
第4部分：一些幫助文件的線上連結。
第5部分：Iris的幫助和支援，可以檢視Iris的詳細說明文件。
第6部分：小提示，它會根據你的操作給出相應的小提示。
第7部分：顯示Iris抓到的資料包。
第8部分：顯示資料包中的內容，並可以對資料包進行重構。
第9部分：以協議的形式顯示資料包的詳細資訊。





2）layer 2，3選項卡主要對第2層和第3層進行設定，選中“顯示所有型別”後會顯示所有的協議型別，選中“排除”會將所選中的協議排除在外。

(4）IP地址選項卡用於設定針對哪些主機之間的通訊進行資料包抓取，address1和address2分別是ip地址和閘道器，可以直接從地址薄中拖過去。此項是較常用的一項。如下圖所示。


25、對Iris軟體的設定。開啟“工具”->“設定”或按“ctrl+t”會出現針對Iris的設定選項卡，如下圖所示。

（1）捕獲選項卡用於設定捕獲資料包的相關選項，“連續執行”表示如果包緩衝區存滿時會繼續執行，此時最開始的資料包將會被覆蓋。“填充緩衝區後停止捕獲”表示如果包緩衝區存滿時會停止執行。如下圖所示。

（1）捕獲選項卡用於設定捕獲資料包的相關選項，“連續執行”表示如果包緩衝區存滿時會繼續執行，此時最開始的資料包將會被覆蓋。“填充緩衝區後停止捕獲”表示如果包緩衝區存滿時會停止執行。如下圖所示。（2）解碼選項卡用於設定解碼資料包的相關引數，預設不解碼UDP資料報，可選中“解碼UDP資料包”讓Iris解碼UDP資料報。如下圖所示。

（3）介面卡選項卡用於設定使用哪塊網絡卡，有多塊網絡卡時可選用。如下圖所示。


1.Iris的主要功能是什麼？

2.Iris的過濾器設定中可以設定哪些部分？

答案：

1.Iris是對網路上的資料包進行檢測和分析的工具，它可以捕獲所有發出和進入的資料包，並可以對資料包進行分析和重構。

2.可以設定硬體過濾器、Layer2,3、關鍵字、MAC地址、IP地址、埠等。

3、分析和思考
1.Iris的主要功能是什麼？

2.Iris的過濾器設定中可以設定哪些部分？

答案：

1.Iris是對網路上的資料包進行檢測和分析的工具，它可以捕獲所有發出和進入的資料包，並可以對資料包進行分析和重構。

2.可以設定硬體過濾器、Layer2,3、關鍵字、MAC地址、IP地址、埠等。

實驗4、網路嗅探-使用微軟網路監視器來嗅探FTP會話

1、實驗介紹
實驗簡介

• 實驗所屬系列：網路嗅探
• 實驗物件：本科/專科資訊保安專業；相關工作從業人員；應用安全愛好者
• 相關課程及專業：資訊保安導論
• 實驗時數（學分）：2學時
• 實驗類別：實踐實驗類

實驗目標

• 安裝網路監視器
• 利用網路監視器捕獲FTP互動過程及終端輸入的使用者名稱和密碼

預備知識
Windows附帶的網路監視器具有基本的網路嗅探功能。FTP以明文方式傳送使用者名稱和口令，網路監視器能夠捕獲整個FTP會話並將使用者名稱和口令展現給可能的黑客。防止這種情況發生的一個辦法是使用匿名連線FTP站點，不過這並不能夠鎖定訪問的伺服器。當然，也可以配置FTP伺服器，只允許某些IP地址或者v*n連線來限制訪問的使用者。

2、實驗步驟
一、實驗準備
1、開啟本地“遠端桌面連線”工具，輸入地址192.168.41.204（以實際獲取ip為準），進入遠端登陸介面，輸入賬號administrator和密碼7afe5c，進入虛擬機器。遠端桌面連線，如下圖所示。

2、遠端登入成功，如下圖所示。

3、同樣的方法，輸入IP地址192.168.41.207（以實際獲取ip為準），輸入賬號administrator和密碼51e329登入第二臺虛擬機器。第一臺虛擬機器為winxp_info，作為客戶端主機。第二臺虛擬機器為win2003_web_1，作為FTP服務端主機。

二、使用微軟網路監視器嗅探FTP會話
1、開啟服務端主機win2003_web_1。開啟啟動網路監視器。實驗機中已經事先安裝好了網路監視器。點選“開始”→“管理工具”→“網路監視器”，啟動網路監視器。如下圖所示。若要選擇網路，則選擇本地連線2。

2、在選單欄“捕獲”欄目中，點選“開始”，啟動監視器。可以看到監視器啟動。如下圖所示。

3、開啟客戶端主機winxp_info，使用客戶端主機登入服務端主機的FTP伺服器（已事先搭建好）。在客戶端系統中，開啟命令提示符“cmd”，通過“ftp192.168.41.207”命令列登入FTP伺服器。FTP使用者名稱anheng，密碼123456。如下圖所示。

4、回到伺服器端，在網路監視器中，選擇“捕獲”，點選“停止並檢視”。如下圖所示。

5、點選上方工具欄的漏斗狀按鈕，開啟顯示篩選器頁面。如下圖所示。

6、雙擊協議，開啟表示式頁面，將FTP協議以外的協議禁用，點選“確定”按鈕回到顯示篩選器頁面。如下圖所示。



7、點選“確定”按鈕可以看到捕獲窗中的FTP會話包被篩選出來。如下圖所示。

8、雙擊FTP會話包，可以看到與FTP會話有關的資訊，如使用者名稱、密碼等。如下圖所示。

9、實驗完成，關閉所有視窗和虛擬機器。

3、分析和思考
1、命令列下如何登入FTP伺服器？

2、FTP協議的使用者名稱和口令能被網路嗅探器捕捉到嗎？
　　　
答案：

1、在命令列中輸入FTP命令，格式為FTP+伺服器IP地址，然後再輸入使用者名稱、口令即可。

2、能，因為FTP以明文方式傳送使用者名稱和口令。

實驗5、網路嗅探-Wireshark 工具的使用

1、實驗介紹
實驗簡介

• 實驗所屬系列：網路嗅探
• 實驗物件：本科/專科資訊保安專業；相關工作從業人員；應用安全愛好者
• 相關課程及專業：網路嗅探
• 實驗時數（學分）：2學時
• 實驗類別：實踐實驗類
• 實驗附件：https://xpro-adl.91ctf.com/userdownload?filename=無&type=attach

實驗目標

• 安裝 Wireshark。
• 使用軟體進行協議包抓取，使用過濾器進行內容檢索。

預備知識
Wireshark（前稱Ethereal）是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包，並儘可能顯示出最為詳細的網路封包資料。Wireshark使用WinPcap作為介面，直接與網絡卡進行資料報文交換。
網路封包分析軟體的功能可想像成 “電工技師使用電錶來量測電流、電壓、電阻” 的工作 - 只是將場景移植到網路上，並將電線替換成網路線。在過去，網路封包分析軟體是非常昂貴，或是專門屬於盈利用的軟體

2、實驗步驟
一、實驗準備
1、開啟本地“遠端桌面連線”工具，輸入地址192.168.41.205（以實際獲取ip為準），進入遠端登陸介面，輸入賬號Administrator和密碼7afe5c，進入虛擬機器。遠端桌面連線，如下圖所示。

2、遠端登入成功，如下圖所示。

二、流量分析
1、安裝Wireshark。開啟C:\tools\Wireshark工具的使用，找到Wireshark安裝檔案。如下圖所示。

2、雙擊開啟安裝檔案，點選“Next”按鈕。如下圖所示。

3、在許可協議頁面，點選“IAgree”同意。如下圖所示。

4、選擇安裝元件。其中Wireshark是基本的元件，TShark是Wireshark的命令列版本，Plugins/Extensions是擴充套件外掛，Tools是工具，User’sGuide是使用者指導。點選“Next”按鈕。如下圖所示。

5、額外的安裝選項。勾選StartMenuItem建立開始選單項，勾選DesktopIcon建立桌面圖示，勾選QuickLaunchIcon建立快速啟動圖示，勾選AssociatefileextensionstoWireshark將捕捉包預設開啟方式關聯到Wireshark。點選“Next”按鈕。如下圖所示。

6、選擇安裝路徑為C:\Wireshark。點選“Next”按鈕。如下圖所示.

7、如果之前未安裝WinPcap，則會提示安裝WinPcap。點選“Install”按鈕安裝。如下圖所示。

8、安裝WinPcap，點選“Next”按鈕。如下圖所示。





15、點選上方工具欄中紅色方形按鈕停止捕獲資料包。如下圖所示。
16、捕捉到的Ethernet幀。如下圖所示

17、捕捉TCP報文段。
（1）TCP報文段的首部格式。如下圖所示。

（2）捕捉到的TCP報文段。如下圖所示。

（3）展開TCP報文段，可以看到此TCP包源埠為51752，目的埠為443，是一個ACK包，只有ACK的標誌位置為了1。如下圖所示。

18、捕捉IP報文段。
（1）IP報文段格式。如下圖所示

（2）捕捉到的IP報文段。如下圖所示。

（3）展開IP報文段，可以得知這個IP報文段的版本為Verision4，即IPV4。源地址Source的IP為192.168.41.215，目的地址Destination的IP地址為122.228.95.122。報文段的ToatlLength即總長度為40。Timetolive為128，表示這個包還可以被路由器轉發128次。Protocol為TCP表示裡面封裝的為TCP報文。如下圖所示。

3、分析和思考
1、Wireshark的功能是什麼？

2、列舉幾個Wireshark可以抓取的包的型別。　　　
答案：

1、Wireshark可以捕捉網路中的資料包並顯示出其中的資料。

2、TCP包,HTTP包,FTP包等。

實驗6、網路嗅探-Wireshark 工具的使用與TCP資料包分析

1、實驗介紹
實驗簡介

• 實驗所屬系列：網路嗅探
• 實驗物件：本科/專科資訊保安專業;相關工作從業人員;應用安全愛好
• 相關課程及專業：網路嗅探
• 實驗時數（學分）：2學時
• 實驗類別：實踐實驗類
• 實驗附件：https://xpro-adl.91ctf.com/userdownload?filename=Wireshark工具的使用與TCP資料包分析.rar&type=attach

實驗目標

• 學習Wireshark工具的使用。
• 學習TCP協議及其TCP頭部結構。
• 利用Wireshark分析TCP資料包內容。

預備知識
1、Wireshark是一個網路封包分析軟體。網路封包分析軟體的功能是捕捉網路資料包，並儘可能顯示出最為詳細的資料包內容。Wireshark是目前全世界最廣泛的網路封包分析軟體之一。

2、傳輸控制協議（Transmission Control Protocol），簡稱TCP協議，是一種面向連線（連線導向）的、可靠的、基於位元組流的運輸層通訊協議，由IETF的RFC793說明。在簡化的計算機網路OSI模型中，它完成第3層傳輸層所指定的功能，基於TCP的常見應用如TELNET，SSH，HTTP，FTP等。

2、實驗步驟
一、實驗準備
1、開啟本地“遠端桌面連線”工具，輸入Windows7的IP地址（實驗以實際的IP為準），進入遠端登陸介面，輸入密碼7c1a9c，進入win7_pu虛擬機器。遠端桌面連線，如下圖所示。

2、遠端登入成功，如下圖所示。

3、開啟本地“遠端桌面連線”工具，輸入另一臺Windows7的ip地址（實驗以實際的IP為準），進入遠端登陸介面，輸入賬號Administrator和密碼7c1a9c，進入win7_crypto虛擬機器。遠端桌面連線，如下圖所示。

4、遠端登入成功，如下圖所示。

二、TCP資料包分析
1、安裝Wireshark。開啟win7_crypto虛擬機器C:\tools\AHCJ038\Wireshark工具的使用與TCP資料包分析\Wireshark工具的使用與TCP資料包分析\wireshark-win32-1.4.3目錄，找到Wireshark安裝檔案。如下圖所示。

2、雙擊開啟安裝檔案，點選“Next”按鈕。如下圖所示。

3、在許可協議頁面，點選“IAgree”同意。如下圖所示。

4、選擇安裝元件。其中Wireshark是基本的元件，TShark是Wireshark的命令列版本，Plugins/Extensions是擴充套件外掛，Tools是工具，User’sGuide是使用者指導。點選“Next”按鈕。如下圖所示。

5、額外的安裝選項。勾選StartMenuItem建立開始選單項，勾選DesktopIcon建立桌面圖示，勾選QuickLaunchIcon建立快速啟動圖示，勾選AssociatefileextensionstoWireshark將捕捉包預設開啟方式關聯到Wireshark。點選“Next”按鈕。如下圖所示。

6、選擇安裝路徑為C:\Wireshark。點選“Next”按鈕。如下圖所示。

7、如果之前未安裝WinPcap，則會提示安裝WinPcap。點選“Install”按鈕安裝。如下圖所示。

8、安裝WinPcap，點選“Next”按鈕。如下圖所示。


9、WinPcap許可協議頁面，點選“IAgree”按鈕同意。如下圖所示。

10、安裝選項。勾選“AutomaticllystarttheWinPcapdeiveratboottime”,使WinPcap可以自動啟動。點選“Install”按鈕。如下圖所示。

11、WinPcap安裝完成後跳轉回Wireshark安裝流程繼續安裝。Wireshark安裝完成後點選“Next”按鈕。如下圖所示。

12、勾選“RunWireshark1.10.14”，點選“Finish”按鈕結束安裝並啟動Wireshark。如下圖所示。

13、Wireshark啟動。如下圖所示。

14、點選“VMwarevmxnet3virtualnetworkdevice”,在點選“start”按鈕開始抓包。如下圖所示。


15、在“開始”→“所有程式”→“Serv-U”中開啟Serv-U管理控制檯啟動Serv-U。如下圖所示


16、開啟win7_pu虛擬機器，進入命令列，輸入命令ftp192.168.41.200（實驗以實際的IP為準）。如下圖所示。

17、輸入使用者名稱DBAPPSecurity、密碼DBAPPSecurity123456（密碼是隱藏的）登入ftp伺服器。如下圖所示。

18、輸入命令bye退出ftp伺服器。如下圖所示。

19、開啟win7_crypto虛擬機器，停止Wireshark程式的抓包。在Filter欄目中輸入ip.addr==192.168.41.215過濾不相關的資料包。如下圖所示。

20、可以看到客戶端192.168.41.215和ftp伺服器192.168.41.200的全部互動過程，包括使用者賬號、密碼傳輸的過程。如下圖所示。

21、可以詳細檢視每個包的具體傳輸內容，例如Info為Request：USERDBAPPSecurity的包的傳輸內容。如下圖所示。

22、實驗完成，關閉所有的視窗和虛擬機器。

3、分析和思考
1、Wireshark的功能是什麼？

2、簡要介紹一下TCP協議？　　　　
　　　
答案：

1、Wireshark（前稱Ethereal）是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包，並儘可能顯示出最為詳細的網路封包資料。Wireshark使用WinPCAP作為介面，直接與網絡卡進行資料報文交換。

2、TCP（Transmission Control Protocol 傳輸控制協議）是一種面向連線的、可靠的、基於位元組流的傳輸層通訊協議，由IETF的RFC 793定義。在簡化的計算機網路OSI模型中，它完成第四層傳輸層所指定的功能，使用者資料報協議（UDP）是同一層內[1] 另一個重要的傳輸協議。在因特網協議族（Internet protocol suite）中，TCP層是位於IP層之上，應用層之下的中間層。不同主機的應用層之間經常需要可靠的、像管道一樣的連線，但是IP層不提供這樣的流機制，而是提供不可靠的包交換。